Gestión del acceso y la seguridad de los usuarios en una empresa en rápido crecimiento
Box es el proveedor líder de soluciones inteligentes de gestión de contenido que reúnen a personas de todo el mundo para hacer un trabajo asombroso. Su plataforma en la nube emplea Box AI para ayudar a las empresas a aprovechar los datos no estructurados, desde material de marketing hasta estados financieros, con el fin de obtener información valiosa y automatizar tareas de manera inteligente. A medida que la empresa evolucionó con los años, también lo hicieron sus necesidades de seguridad y su entorno de TI. En 2012, Box usaba varias plataformas para gestionar el cumplimiento normativo complejo y los estándares del sector, así como para proteger los datos de todas sus aplicaciones.
Las identidades de Box estaban aisladas en múltiples soluciones, lo que generaba falta de coherencia en el aprovisionamiento y el cumplimiento. En el pasado, su equipo de TI gestionaba la identidad manualmente mediante secuencias de comando personalizadas, pero ese proceso resultó ineficiente y les costó miles de horas en tareas administrativas y de desarrollo.
Para Box, la identidad garantiza que el contenido circule libremente entre clientes y empleados, pero que al mismo tiempo se mantenga protegido contra accesos no autorizados, desempeñando un papel clave en su estrategia de seguridad. Mark Schooley, director sénior de Operaciones e Ingeniería de TI, explica: “El acceso no solo debe ser seguro en todas las aplicaciones, sino que también debe ser escalable en una empresa que crece con rapidez”. La empresa necesitaba un socio capaz de crecer junto con su negocio y unificar la gestión de identidades para respaldar su misión en el futuro. Box eligió Okta e inició una relación de confianza que ya lleva más de 13 años.
Unificación de la gestión de identidades y optimización de los flujos de trabajo de TI
Al inicio de la asociación, Okta ayudó a Box a eliminar los silos en más de 150 aplicaciones empresariales y a unificar su infraestructura de identidades. Box adoptó Okta Workforce Identity, lo que les permitió construir una base sólida de seguridad y gestión de identidades. Con Universal Directory, Box gestiona múltiples fuentes de identidad, incluida su plataforma de Recursos Humanos, Workday, en un solo lugar. “Es un gran ahorro de tiempo. Universal Directory nos brinda la flexibilidad de extraer los atributos que queremos y establecer una única fuente de verdad para la gestión de identidades”, afirma Schooley. Al contar con una única fuente de verdad, la asignación de atributos, tareas y permisos se volvió fluida. Además, ahora, el equipo puede integrar nuevas aplicaciones en Okta en solo 15 a 20 minutos, una tarea que antes llevaba días.
Con una identidad unificada, los empleados de Box ahora pueden acceder de forma rápida y segura a las aplicaciones clave mediante Single Sign-On (SSO). SSO protege el acceso a las aplicaciones empresariales de Box y, al mismo tiempo, mejora la productividad de los usuarios gracias a un proceso de inicio de sesión fluido. Si un usuario olvida su contraseña de SSO, puede usar el flujo de restablecimiento de contraseña de autoservicio de Okta, que le permite gestionar su acceso de manera autónoma y sin necesidad de soporte de TI.
Para mejorar aún más la productividad del equipo, Box también aprovecha la automatización en sus flujos de trabajo de identidad. Con la incorporación de Okta Workflows, una herramienta de automatización de identidad sin código, Box pudo mejorar las habilidades de su equipo de TI y ahorrar tiempo. “Workflows hace que las secuencias de comandos personalizadas sean accesibles. En lugar de pasar días aprendiendo a programar, ahora los miembros del equipo pueden crear automatizaciones en cuestión de minutos”, explica Schooley. Gracias a estas automatizaciones, incluidas las relacionadas con cuentas y solicitudes de soporte de contraseñas, Workflows le ahorró al equipo miles de horas al año. “A medida que agregamos más empleados a la organización, el tiempo y el dinero que ahorramos gracias a la automatización siguen aumentando”, dijo.
Una base de identidad segura probada frente a una superficie de ataque en constante evolución
Con la gestión unificada del acceso y la identidad, Box resolvió sus desafíos iniciales de identidad y obtuvo un socio de confianza a largo plazo con Okta. Sin embargo, a medida que Box continuó expandiéndose, también evolucionó su superficie de ataque.
“Con el auge del trabajo remoto, los atacantes empezaron a explorar formas de eludir las protecciones de seguridad tradicionales y acceder directamente a los datos confidenciales de las empresas desde los dispositivos de los empleados”, explica Akhila Nama, directora de seguridad empresarial. “Los atacantes comenzaron a abusar con mayor frecuencia de los privilegios permanentes de administrador local para acceder a datos críticos”. La gestión de estas amenazas requirió que el equipo de TI dedicara cientos de horas a revisiones manuales de registros de acceso de usuarios propensos a errores. “Cuanto más tiempo se tarda en identificar y revocar el acceso no autorizado, mayor es el riesgo”, afirma Nama. Al mismo tiempo, eliminar todos los accesos de administrador no era una opción.
Box tuvo que identificar los riesgos potenciales, abordarlos rápidamente y asegurarse de que se mitigaran sin sacrificar la experiencia del usuario. Buscaron una solución de gobernanza de identidades y recurrieron a su socio de confianza de siempre: Okta. “Okta ya contaba con la solución que necesitábamos con Okta Identity Governance (OIG). Continuar con ellos fue un gran acierto para nosotros”, indica Nama.
Simplificación de la gobernanza y la automatización de identidades con un socio de confianza
La gobernanza de identidades centralizada y la gestión unificada de accesos que ofrece OIG permitieron a Box encontrar un punto intermedio entre el acceso permanente de administrador local y la eliminación total de los privilegios de administrador. Box reemplazó los privilegios de administrador permanentes por un marco dinámico que otorga permisos elevados únicamente cuando es necesario, aplicando el principio de privilegios permanentes cero mediante solicitudes y certificaciones de acceso automáticas y ad hoc.
El equipo de TI extendió los principios de privilegios permanentes cero a los dispositivos de los usuarios finales. Esto permitió a los empleados de Box aplicar privilegios de administrador temporales. Box integró Okta con su aplicación de gestión de dispositivos, Kandji, para mitigar vulnerabilidades de seguridad al tiempo que otorgaba a los usuarios acceso de administrador por tiempo limitado. “Dimos al usuario final la opción de obtener acceso de administrador por una hora, un día o incluso una semana”, explica Nama. “Incorporamos suficientes protecciones para que las solicitudes de administrador sospechosas generen automáticamente un ticket, alertando a los gerentes de TI en Slack y Jira en caso de un incidente”. Esto mejora la seguridad al mismo tiempo que minimiza las fricciones para los usuarios, ya que las solicitudes de acceso en autoservicio brindan mayor comodidad y flexibilidad, mientras que el equipo de TI conserva la capacidad de gestionar y revocar privilegios de manera sencilla.
Además, Box protegió la gestión de accesos y la desvinculación mediante iniciativas periódicas de gobernanza. OIG permite al equipo de TI ver fácilmente quién tiene acceso a datos confidenciales en un momento dado. Para verificar si una cuenta aún necesita acceso a aplicaciones críticas, Box usa campañas de certificación de acceso para validar los permisos y revocar el acceso según sea necesario. Estas campañas se establecen a intervalos definidos y se complementan con desafíos de MFA intensificados, activados por desencadenantes de comportamiento general, como cuando un usuario inicia sesión desde una ubicación sospechosa.
Al combinar las solicitudes de acceso y las certificaciones mediante OIG y Workflows, Box otorga a los usuarios privilegios de administrador temporales solo cuando es necesario. Esta estrategia permite a Box aplicar el principio de privilegios permanentes cero, con lo cual se fortalece la postura de seguridad sin sacrificar la productividad.
Centralización de la gestión de identidades para acelerar los tiempos de respuesta ante amenazas
Con Okta, Box unificó su infraestructura de identidades, optimizó los flujos de trabajo de TI e implementó iniciativas de gobernanza para aplicar el principio de privilegios permanentes cero. Ahora, Box gestiona el acceso automatizando las solicitudes y los procesos de certificación al mismo tiempo que ofrece a los usuarios finales una experiencia de identidad coherente y sencilla. Al integrar OIG en su ecosistema de identidades, Box brindó a los usuarios acceso de administrador local con límite de tiempo y redujo su superficie de ataque mediante privilegios permanentes cero, limitando los posibles puntos de acceso.
De cara al futuro, Box planea ampliar su estrategia de identidad enfocándose en la gestión de acceso privilegiado y aplicando aún más los privilegios permanentes cero en todas las aplicaciones. Nama explica: “En los próximos años, las credenciales justo a tiempo respaldarán nuestro futuro sin contraseña. Ahí es adonde creo que nos llevará nuestro próximo recorrido en materia de identidades”.
Acerca de Box
Box (NYSE:BOX) es el líder en gestión inteligente de contenidos. La plataforma de Box permite a las organizaciones impulsar la colaboración, gestionar todo el ciclo de vida del contenido, proteger el contenido crítico y transformar los flujos de trabajo comerciales con IA empresarial. Hoy en día, Box presta servicios a 115 000 empresas y al 67 % de las empresas de Fortune 500. A medida que el trabajo continúa evolucionando, la empresa sigue enfocada en brindar innovación a organizaciones de todo el mundo y superar las expectativas de los clientes todos los días.
